Estratégia Nacional de Cibersegurança não restringe fornecedores chineses

Foto: Pixabay

Instituída nesta quinta, 6, pelo Decreto nº 10.222, a Estratégia Nacional de Segurança Cibernética (E-Ciber) trata alguns assuntos críticos de forma genérica, prevendo a criação de mais mecanismos e delegação de poderes para futuras medidas. Sobretudo, o documento não traz restrições a fornecedores para infraestrutura de telecomunicações – ou seja, não há limitações para empresas chinesas como Huawei e ZTE atuarem no mercado brasileiro. Em geral, o documento determina que se adotem "requisições mínimas" de segurança, mas não procura as estabelecer.

Especificamente sobre 5G, a estratégia recomenda na comercialização de equipamentos "requisitos mínimos de segurança cibernética que assegurem o uso pleno, responsável e seguro dessa tecnologia". No uso da quinta geração, especialmente para IoT, "a E-Ciber recomenda que devem ser considerados, na comercialização de equipamentos 5G, requisitos mínimos de segurança cibernética que assegurem o uso pleno, responsável e seguro dessa tecnologia em prol do desenvolvimento da sociedade e das instituições nacionais".

"Faz-se mister, ainda, especificar ações que protejam a estrutura relacionada à internet, como grandes servidores, pontos de troca de tráfego e datacenters, uma vez que proporcionam o funcionamento dos setores críticos da rede", coloca a estratégia. Apesar das recomendações da União Europeia, adotadas pelo próprio bloco e pelo Reino Unido, o governo brasileiro acabou não levantando barreiras para empresas consideradas (pelos europeus e, especialmente, norte-americanos) "de risco" atuarem. 

O documento trata como infraestruturas críticas as redes de telecomunicações, que merecem abordagem específica. Mas, para tratar do assunto, cita o Decreto nº 9.573 de 2018, que estabelece no âmbito da Política Nacional de Segurança das Infraestruturas Críticas Nacionais o Sistema Integrado de Dados de Segurança de Infraestruturas Críticas, a Estratégia Nacional de Segurança de Infraestruturas Críticas e o Plano Nacional de Segurança de Infraestruturas Críticas.

Aplicações

Ao tratar da segurança da comunicação governamental, o documento também coloca que é necessário estabelecer requisitos mínimos de segurança e contratos junto a fornecedores de serviços e equipamentos, recomendando que a esses parâmetros sejam orientados para o mercado, coerentes com o universo privado nacional e alinhados aos padrões internacionalmente conhecidos". 

Ao tratar de interceptação de comunicação, incluindo possibilidade de roteadores infectados, provedores de Internet infectados "por intenções próprias ou de terceiros", gateway e "cabos com derivação para desvio das comunicações", o E-Ciber recomenda "estabelecer protocolos e requisitos referentes à prevenção, ao monitoramento, ao tratamento, e à resposta aos incidentes computacionais, voltados principalmente às equipes especializadas que tratam das ameaças cibernéticas". Cita ainda necessidade de investimentos em "inteligência espectral", para a análise de frequências para evitar ações maliciosas.

A estratégia coloca como ação o monitoramento da implantação de, novamente, "requisitos mínimos" de cibersegurança pelos fornecedores, embora não detalhe quais seriam esses requerimentos. Porém, como ação de incentivo a "soluções inovadoras", estabelece o incentivo ao desenvolvimento, e a adoção de padrões globais de tecnologia, permitindo interoperabilidade em escala internacional. Para infraestrutura crítica, estabelece a promoção da interação entre agências reguladoras e estimula a adoção de ações de cibersegurança.

Normativos

Mesmo ao abordar o contexto da cibersegurança, o documento fala em ataques hackers à infraestrutura e mesmo em "hacktivistas", mas não cita desconfianças em relação a empresas. Apenas afirma que elas precisam ter "abordagem consistente e evolutiva em segurança cibernética para identificar e avaliar vulnerabilidades, e gerenciar o risco de ameaças". Isso inclui a adoção de padrões como privacidade e segurança by design and defaut – ou seja, com esses elementos incorporados desde a concepção e por padrão. 

Por outro lado, solicita a criação de uma lei que regule as ações de cibersegurança e especifique atribuições, além de tornar "possível" ao Gabinete de Segurança Institucional da Presidência da República (GSI) o papel de "macrocoordenador estratégico", proporcionando alinhamento às ações de segurança de forma convergente e estruturada. O GSI também coordenaria grupos de debate dentro da E-Ciber. A estratégia "recomenda a criação de um conselho nacional de segurança cibernética que congregue diversos atores estatais e não estatais, com o objetivo de pensar a segurança cibernética sob um prisma abrangente, inclusivo, moderno e com ênfase nas reais necessidades nacionais".

Há ainda a intenção de aprimorar o arcabouço legal, para revisar e atualizar normativos existentes, abordando novas temáticas e elaborando novos instrumentos. Isso inclui "realizar esforços" para incluir novas tipificações de cibercrimes no Código Penal. Além disso, também visa elaborar, sob coordenação do GSI, um anteprojeto de lei de cibersegurança "com diretrizes que irão proporcionar alinhamento macroestratégico ao setor e contribuir de forma decisiva para elevar a segurança das organizações e dos cidadãos". 

Como medidas de atualização, inclui o Marco Civil da Internet, alegando que "o intenso avanço da tecnologia e o consequente redesenho das relações humanas no espaço cibernético enseja análises periódicas desse valioso instrumento legal".  

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

I accept the Privacy Policy

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.